見出し画像

事業継続計画の立て方 その3

リモートバックアップサービス

今回から何回かに分けて、BCP策定の具体的な手順についてお話ししたいと思います。以前にも述べましたが、BCPは「BCMの基本方針」とも言えるものだと思います。それについて、やや細かく説明していきたいと思います。

BCMを策定していく

案外考えられていないことではあるのですが、BCMとは「Business Continuity Management」の略であることからおわかりいただけるかと思いますが、災害つまりディザスタがあったときにも事業を継続するためのマネジメントのことを指します。
BCPというのは簡単に言ってしまいますとトラブル発生から正常状態を取り戻すまでの一連のプランすべてを指します。これを定めておくことにより、情報セキュリティの強化、向上が期待できるわけです。
そして何が考えられていないかと言いますと、ビジネスにおいて不可欠な従業員の安全ということが案外考えられていません
確か以前にもこのことは申し上げたと思うのですが、ビジネスは人あればこそのものです。御社の業務に習熟した従業員は、御社の最重要資産だと言っていいでしょう(以前にも言いましたが、労働者を使い潰すことで成り立っているブラック企業はやっぱり悪だと言っていいと思うのですよね…)。ですので、BCPの中にはきっちりと「防災対策」「災害対策」を入れ、1年に1回とかその程度の頻度でもよいので防災訓練を行って下さい
前にも申し上げましたが、私には総務畑の経験があり、あんまり良い思い出ではないのですが防災訓練に参加したことも主催したこともあります。総務の仕事は良い思い出ではありませんが、今から考えると必要なことだったんだなあとわかります。というわけで防災対策を行っていますと、必要な行動がマニュアルから抜け落ちているということも十分考えられます。

計画の策定

そして身の安全を確保することができる準備が整ったら、計画の策定に入って下さい。まず何が必要かと言いますと、御社の資産をすべて洗い出すことだと思います。パソコン1台から、大きくは機械があれはそれも資産です。会社が貸しビルで運用されているような場合には、そのビルの賃借権も資産であると私は思います。
そしてそうやって洗い出しが終わったら、今度はそれらにどの程度のダメージが加わったら業務が行えなくなるのか、そこを考えていきます。例えばサーバーに不測の事態が起こった場合、ほとんどの業務が行えなくなる会社様も多いのではないでしょうか。
前回「事業継続計画の立て方 その2 の注釈」でも述べましたとおり、いろいろな会社の資産を横軸に取り、それぞれの資産を守る、あるいは復旧するために上の方のセルから下へ向かって簡単な対策から重大な対策まで並べておき、それらを順次上から実行していって、最終的に復旧ができるようにしておけばわかりやすいことかと思います。
日本はそもそも自然災害に注意深い国ではあると思うのですが、東日本大震災の時、新宿西口高層ビル群が波打つように揺れ、そして高いところにあるものが落ちてくるという事態が生じました。
これはそれまでは想定されていなかった事態です。学校などでは、児童にひとりひとりヘルメットを準備させるところも出て来たようです。
こういう、予測できなかった事態に対して適宜見直しを行うのも必要なことですね。

いざ、非常事態が起こったときに

そうやって非常事態に備えていても、非常事態はどんな形でやってくるかわかりません。これまで地震のことについて主に述べてきましたが、緊急事態がどんな形を取るか、それは予測しようがないのです。
というわけで、起こってしまった場合はまず身の安全の確保を最優先にして下さい。非常事態において、脱出が不可能だった被災者を助けなきゃ、と思いがちですが、素人が行ったら状況が悪化することにもなりかねません。日本の自衛隊・消防・救急は優秀です。プロに任せましょう
そしてまた緊急事態とは何も地震だけではありません。もしかしたらテロかも知れません。そこは可能性が低いと思われても想定はしておく必要があると思います。繰り返すようですがまずは身の安全の確保、次に状況把握を行って下さい。人的安全に関しては身の安全の確保で把握されているはずですので、あとは状況を把握して下さい。自社の資産だけではなく、例えばインフラ、電気水道ガス電話、そういうものは正常に動くかどうかは非常に重要です
以前、電話が通じなくなったばかりに事業を縮小せざるを得なかったC社の事例について述べましたが、インフラというのは普段何気なく使っているものですが、なくなったら困るものです。
私の実家のある市で、だいぶ以前になりますが市まるごと水道が出なくなったんです。このとき判明したことなのですが、市域全域に水を届ける水道は、直径わずか1メートルほどの水道管にすべてぶら下がっていたのです。このときは全市民が怒ったと言ってもいいほど行政が責め立てられました。
私は若いころ電話会社に勤めておりました。その間に起こったのが阪神淡路大震災です。
「今すぐつなげ、お前がつなげ、俺が一声かけたら100人からの人間がお前のところを使うのをやめるんだぞ!」
と怒鳴ったおじさんもいたなあ。いまどき手動交換ができるわけないし、当時で既に数百万のユーザーを抱えてた会社に「100人やめる」が脅し文句になると思ってるところも痛かったな。私は、わかりやすく言えば「やめたきゃやめれば?」と言って電話を切りました
まあ話がそれかけましたが、インフラというのは普段「あって当たり前」のものになってしまっていますので、いざ使えなくなったときのダメージは非常に大きいものです。なかなか目が行き届かない部分ではありますが、そこもきちんと押さえて下さい。

とりあえず、収束したときに

とりあえず、人的被害も物的被害も把握されたとします。
次になすべきことは、これまでのBCMが適正に機能したかどうかです。まず言ってしまいますが、おそらく何か予想していなかった事態があって、そしてそのことによって被害が生じた、あるいは拡大したというところは見つかってしまうと思います。
そしてこうやって実際の事例が発生したということは、BCMに取っては非常に良い実例なのです。思わぬ被害を出した部分に関して、なぜ起こったのか、そして起こらないようにするにはどのように防災対策や計画の策定を再度行うということですね。
そしてまた、再度作成された防災対策や計画に対して、教育・訓練を忘れてはいけません。企業において防災訓練というのは、時間もかかりますし、計画も立てなきゃいけませんし、従業員はやる気がないし…というわけで誰もがあまり積極的ではない行事だとは思います。それでも、ひととおりこうすれば良いのだなと知っておくだけでもだいぶ違います。これは多くの事例でも被災者がよく言っていることです。

事業を継続・早期復旧するために

というわけで述べてまいりましたが、災害による直接的なダメージは何とかなったとしましょう。そうなると、企業様・団体様が次に考えるべきことは「どうやって業務を再開するか」だと思います。
これもまたあらかじめ想定することは難しいことなのではありますが、以前にも申し上げましたとおり「この仕事だけは絶対に続けなければいけない」というコア業務を筆頭に、状況が許せば業務を再開していいという基準で順位づけをしておくことが有効だと思われます。
これは言ってしまえば所詮「こういう順序で業務が再開できればいいな」という願望に過ぎないとも言えるのですが、やはり各社様はそれぞれに本業・副業・そのまた副業というような感じでいくつかの業務を手がけていらっしゃると思います。
災害から復旧したあと、必ずしも本業から再開できるとは限りません。もしかしたら「そのまた副業」が一番最初に再開できる業務かも知れません
しかしそれでも業務は再開の方向に向けて動くべきでしょう。それは従業員の志気にも関わりますし、外部から見た場合「再開に向けて動いている」という認識を持っていただけるということも非常に大きなことです。
そして、その言葉とは矛盾するようですが、あまりにも細かい業務で、しかも再開に向けてかなりの費用が必要となった場合、悲しいことですがその事業に関してはそれで終わりという選択も必要な場合があります
そこは費用対効果で考えていただくべきところだと思います。

最後に、コンピュータ関係のことについて

というわけで主に自然災害について述べてきましたが、コンピュータ関係の緊急事態も考えておかなければなりません。
コンピュータ関係と言いましても企業等の中で使われている1台の端末である場合もあるでしょうし、サーバーがやられた、なんてこともあると思います。
コンピュータ関係の人災で恐ろしいのが、被害者であることが容易に加害者に化けてしまうことです。ハックされたコンピュータを使い、第3者のコンピュータに攻撃を仕掛けてしまうことも十分に考えられます。
ですので、そのようなときにまずやることをひとつ申し上げます。ルーターのレベルから、The Internetから切り離して下さい。業務は完全に滞ると思いますが、そのまま使い続けて被害を拡大し続ける方がはるかにリスクです。
そして、The Internetに影響を及ぼさない範囲にした上で、じっくりと何がいけなかったかを検証し、原因になるものを取り除きます。
ファイルひとつゴミ箱に放り込んでそれでおしまい、というわけにはなかなかならないと思うのですが、ここでも思い出していただきたいのがバックアップの3-2-1ルールです。取っておいたバックアップでロールバックを行って下さい。直近のロールバックでは問題が解決しない場合などは弊社のバックアップ世代管理サービスをご利用いただければと思います。
よろしくお願いいたします。

ここまでが、BCP(事業継続計画)における第1段階「防災」です
前回も出した図なのですが、ここでもう1回出しますね

BCPとBCM

この図において、本稿が述べてきたことは青い枠の中のことだけです。防災対策、計画の策定、分析・検討、教育・訓練、身の安全の確保、状況把握、被害拡大防止。事前にそなえておく、あるいは実際の緊急事態に際してやらなければいけないことだけでもこれだけあるんです。
地震や火災ということを想定した防災訓練はいままでも行われてきましたが、IT化の進歩によって、やらなければならないことも増えた、ということではないかと思います。
今日もありがとうございました。

目次

クラウドストレージが持つ特有のリスク

クラウドストレージが持つ特有の脆弱性

クラウドストレージと遠隔地バックアップの相互補完性

クラウドストレージのデータ消失に関する責任の所在

ディザスタリカバリ手順をあらかじめ決めておくべき理由

弊社でお取り扱いしておりますデータ・OSにつきまして

クラウドストレージのメリット・デメリット

Microsoftさん、それはないでしょう

事業継続計画の立て方 その1

Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex

事業継続計画の立て方 その2

事業継続計画の立て方 その2 の注釈

パソコンのデータが飛ぶ5つのケース

BitLockerをいろいろ使ってみました

事業継続計画の立て方 その4

パソコンのデータが飛んだ際のリスク10選

クラウドネイティブ時代のバックアップのあり方について

ランサムウェア対策としてのバックアップについて

中小企業向けバックアップメディアのおすすめをご紹介

中小企業のデータバックアップ方法 おすすめはクラウドです

中小企業がバックアップを行う際の問題点と解決策

Linuxのバックアップ機能について

探り探りApple社製品について

今日は軽めに私的情報セキュリティ回顧録

バックアップで対処できる情報の脅威

バックアップで対処できない情報の脅威

バックアップの方法 オフライン・オンラインバックアップとは?

データバックアップ 中小企業に相応しい取り方とは?

データバックアップに関する最近の事件について

弊社サービスにつきまして

IPAの言うセキュリティ対策の基本を見ていきましょう! その1

IPAの言うセキュリティ対策の基本を見ていきましょう! その2

IPAの言うセキュリティ対策の基本を見ていきましょう! その3

IPAの言うセキュリティ対策の基本を見ていきましょう! その4

いいなと思ったら応援しよう!